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PROCEDE D ' APPARIEMENT D'UN TERMINAL RE CEP TEUR AVEC UNE 
PLURALITE DE CARTES DE CONTROLE D'ACCES 
DESCRIPTION 

DOMAINE TECHNIQUE 

5 L' invention se situe dans le domaine de la 

securisation de donnees numeriques diffusees et des 
equipements recepteurs destines a recevoir ces donnees 
dans un reseau de distribution de donnees et/ou 
services et se rapporte plus specif iquement a un 
10 procede d' appariement d'un equipement recepteur de 
donnees numeriques avec une pluralite de modules 
externes de securite ayant chacun un identifiant 
unique . 

ETAT DE XA TECHNIQUE ANTERIEURE 

15 De plus en plus d' operateurs off rent des 

donnees et services en ligne accessibles au moyen de 
terminaux munis de processeurs de securite. 
Generalement , les donnees et services distribues sont 
embrouilles a l f emission par des cles secretes et 

20 desembrouilles a la reception par les memes cles 
secretes prealablement mises a la disposition de 
1' abonne . 

Outre les techniques classiques de controle 
d'acces basees sur 1' embrouillage a l f emission et le 

25 desembrouillage a la reception des donnees distributes , 
les operateurs proposent des techniques basees sur 
l f appariement du terminal de reception avec un 
processeur de securite pour eviter que les donnees et 
services distribues ne soient accessibles a des 

30 utilisateurs muni d f un terminal vole ou d' un processeur 
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de securite pirate tel que par exemple une carte a puce 
f alsif iee . 

Le document WO 99/57901 decrit un mecanisme 
d' appariement entre un recepteur et un module de 
5 securite base, d'une part, sur le chif f rement et le 
dechiff rement des informations echangees entre le 
recepteur et le module de securite par une cle unique 
stockee dans le recepteur ou dans le module de 
securite, et d' autre part, sur la presence d'un numero 
10 de recepteur dans le module de securite. 

Un inconvenient de cette technique provient 
du fait que 1' association entre un recepteur et un 
module de securite qui lui est apparie est etablie a 
priori, et qu'elle ne permet pas a l'operateur de gerer 
15 efficacement son pare d'equipements recepteurs afin 
d' empecher le detournement de cet equipement pour des 
utilisations f rauduleuses . 

Un but du procede d' appariement selon 
l r invention est de permettre a chaque operateur de 

2 0 limit er les utilisations de son pare de materiel de 

reception en configurant et en controlant dynamiquement 
1 ' appariement de 1' equipement recepteur et des modules 
externes de securite destines a co'operer avec cet 
equipement . 

25 

EXPOSE DE 1/ INVENTION 

L f invention preconise un procede 

d' appariement d'un equipement recepteur de donnees 
numeriques avec une pluralite de modules externes de 

3 0 securite ayant chacun un identifiant unique. 
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Le procede selon 1' invention comporte les 
etapes suivantes : 

- connecter un module externe de securite a 
1'. equipement recepteur, 

5 - memoriser a la volee dans 1' equipement 

recepteur 1' identif iant unique du module de securite 
connecte . 

Ce procede comporte une phase de controle 
consistant a verifier, a chaque connexion ulterieure 
10 d'un module externe de securite a 1' equipement 
recepteur, si 1' identif iant dudit module est memorise 
dans cet equipement recepteur. 

A cet effet, le procede selon 1' invention 
comporte en outre une etape consistant a transmettre a 
15 1' equipement recepteur une signalisation comportant au 
moins un message de gestion de la memorisation de 
1' identif iant du module externe de securite et/ou un 
message de gestion de la phase de controle. 

Ladite signalisation comporte au moins une 
20 des consignes suivantes : 

- autoriser la memorisation, 

- interdire la memorisation, 

- effacer les identifiants deja memorises 
dans 1' equipement recepteur, 

25 - activer ou desactiver la phase de 

controle . 

Dans une premiere variante de mise en oeuvre 
du proced<§, la signalisation comporte le nombre maximal 
d' identif iant s dont la memorisation est autorisee. 
30 Dans une deuxieme variante de mise en ceuvre 

du procede, ladite signalisation comporte une consigne 
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de reconfiguration par laquelle on transmet & 
1' equipement recepteur une liste mise a jour des 
identifiants des modules externes de securite apparies 
avec ledit equipement recepteur. 
5 Ladite liste est transmise soit directement 

a 1' equipement recepteur, soit via un module externe de 
securite connecte audit equipement recepteur. 

Prtferentiellement , ladite phase de 
controle comporte une procedure consistant a perturber 

10 le traitement des donnees si 1' identif iant du module 
externe de securite connecte n'est pas prealablement 
memorise dans 1' equipement recepteur. 

Le precede selon 1' invention s' applique 
lorsque les donnees sont distributes en clair et 

15 egalement lorsque ces donnees sont distributes sous 
forme embrouillee par un mot de controle chiffre. Dans 
ce dernier cas, chaque module externe de securite 
comporte des droits d'acces auxdites donnees et un 
algorithme de dechif f rement dudit mot de controle pour 

20 desembrouiller les donnees. 

La signalisation de controle est transmise 
dans un message EMM (Entitlement Management Message, en 
anglais) specif ique a un module externe de securite 
associe a cet equipement recepteur ou dans un message 

25 EMM specifique a cet equipement recepteur, et pour un 
equipement recepteur donne, la liste mise a jour des 
identifiants des modules externes de securite apparies 
avec cet equipement recepteur est egalement transmise 
dans un message EMM specifique a un module de securite 

30 associe a cet equipement recepteur. 
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Alternativement f ladite signalisation est 
transmise dans un flux prive a un groupe d' equipements 
recepteurs, et la liste mise a jour des identifiants 
des modules externes est egalement transmise dans un 
5 flux prive a chaque equipement recepteur. Dans ce 
dernier cas, ledit flux prive est traite par un 
logiciel dedie executable dans chaque equipement 
recepteur en fonction de 1' identif iant du module 
externe de securite qui lui est associe. 

10 Dans une autre variante, la signalisation 

est transmise a un groupe d' equipements recepteurs dans 
un message EMM specifique a un groupe de modules 
externes de securite associes auxdits equipements 
recepteurs ou dans un message EMM specifique audit 

15 groupe d' equipements recepteurs, et pour un groupe 
d' equipements recepteurs donne, la liste mise a jour 
des identifiants des modules externes est transmise 
dans un message EMM specifique a un groupe de modules 
externes de securite associes auxdits equipements 

2 0 recepteurs . 

Par ailleurs, pour un groupe d' equipements 
recepteurs donne, la signalisation de contrdle et la 
liste mise a jour peuvent egalement etre transmises a 
un groupe d' equipements dans un flux prive. 

25 Dans ce cas, ledit flux prive est traite 

par un logiciel dedie executable dans chaque equipement 
recepteur en fonction de 1' identif iant du module 
externe de securite qui lui est associe. 

Lorsque la transmission de la signalisation 

30 et des listes mises a jour est effectuee par des EMM, 
le procede comporte un mecanisme destine a empecher 
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1' utilisation d'un EMM transmis a un meme module de 
securite dans deux equipements recepteurs distinct s. 

Les EMM specifiques a un module de securite 
ou a un equipement recepteur presentent le format 
suivant : 



10 



15 



20 



25 



EMM-U_s e ct i on ( ) { 
table_id = 0x8 8 
section_syntax_indicator = 0 
DVB_r e s erved 
ISO_reserved 
EMM-U_section_JLength 
unique_adress_f ield 
for (i=0; i<N; ±++) { 

EMM_dat a_b yt e 

} 

} 

Les EMM specifiques a tous 
externes de securite ou a tous les 
recepteurs presentent le format suivant : 

EMM-G_section ( ) { 
table_id = 0x8A ou 0x8B 
section_syntax_indicator = 0 
DVB_r e s e rve d 
ISO_reserved 
EMM-G_section_length 
for (i=0; i<N; { 
EMM__dat a Joy t e 



8 bits 
1 bit 

1 bit 

2 bits 
12 bits 
40 bits 

8 bits 

les modules 
equipement s 



8 bits 
1 bit 

1 bit 

2 bits 
12 bits 



} 



8 bits 



30 



} 

Les 



modules 



EMM specifiques a 
externes de securite ou 



un sous-groupe de 
a un sous-groupe 



d' equipements recepteurs presentent le format suivant 
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EMM-S_section ( ) { 

table_id = 0x8E 8 bits 

section__syntax__indicator = 0 1 bit 
DVB_re served 1 bit 

5 lSO__reserved 2 bits 

EMM-S_section_length 12 bits 

shared__address_f ield 24 bits 

reserved 6 bits 

data_format 1 bit 

10 ADF_scrambling__f lag 1 bit 

for (i=0; i<N; i++) { 

EMM_data_Jbyte 8 bits 

} 

• } 

15 Selon une caracteristique supplement aire, 

les identifiants de modules de securite sont groupes 
dans une liste chiffree. 

Le procede peut etre utilise dans une 
premiere architecture . dans laquelle 1'equipement 

2 0 recepteur comporte un decodeur et le module de securite 
comporte une carte de controle d r acces dans laquelle 
sont memorisees des informations relatives aux droits 
d' acces d'un abonne k des donnees numeriques 
distributes par un operateur. 

25 Dans cette architecture, 1' appariement est 

effectue entre le decodeur et la carte de controle 
d' acces. 

Le procede peut etre utilise dans une 
deuxieme architecture dans laquelle- 1' equipement 
30 recepteur comporte un decodeur et le module de securite 
comporte une interface de securite amovible munie d' une 
memoire non volatile et destinee a cooperer, d'une 
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part, avec le decodeur, et d' autre part, avec une 
pluralite de cartes de controle d' acces conditionnel 
pour gerer l'acces a des donnees numeriques distributes 
par un operateur. 
5 Dans cette architecture, l r appariement est 

effectue entre ledit decodeur et ladite interface de 
securite amovible . 

Le precede peut etre utilise dans une 
troisieme architecture dans laquelle 1' equipement 

10 recepteur comporte un decodeur muni d'une interface de 
securite amovible ayant une memoire non volatile et 
destinee a cooperer, d'une part, avec ledit decodeur, 
et d' autre part, avec une pluralite de cartes de 
controle d' acces conditionnel. 

15 Dans cette architecture, 1' appariement est 

realise entre ladite interface de securite amovible et 
lesdites cartes de controle d' acces. 

Dans une application particuliere du 
procede selon 1' invention, les donnees sont des 

2 0 programmes audiovisuels. 

Le procede selon 1' invention est mis en 
oeuvre dans un systeme comportant une pluralite 
d' equipement s recepteurs connectes a un reseau de 
diffusion de donnees et/ou services, chaque equipement 

25 recepteur etant susceptible d'etre apparie avec une 
pluralite de modules externes de securite, ce systeme 
comportant egalement une plateforme de gestion 
commerciale communiquant avec lesdits equipements 
recepteurs et avec lesdits modules externes de 

30 securite. Ce systeme comporte en outre : 
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- un premier module agence dans ladite 
plate-forme de gestion commerciale et destine a generer 
des requetes d' appariement, 

- et un deuxieme module agence dans lesdits 
5 equipements recepteurs et destine a traiter lesdites 

requetes pour preparer une configuration de 
1 1 appariement et pour controler cet appariement. 

L' invention concerne egalement un 

equipement recepteur susceptible d'etre apparie avec 

10 une pluralite de modules externes de securite pour 
gerer l'acces a des donnees numeriques distributes par 
un operateur. 

Selon 1' invention, cet equipement comporte 
des moyens pour memoriser a la volee 1' identifiant de 

15 chaque module externe de securite qui lui est connecte. 

Dans un premier mode de realisation, 
1' equipement recepteur comporte un decodeur et le 
module externe de securite est une carte de controle 
d'acces comportant des informations relatives aux 

20 droits d'acces d'un abonne auxdites donnees numeriques, 
l r appariement etant effectue entre ledit decodeur et 
ladite carte. 

Dans un deuxieme mode de realisation, 
1' equipement comporte un decodeur et le module externe 

25 de securite est une interface de securite amovible 
munie * d'une memoire non volatile et destinee a 
cooperer, d'une part, avec ledit decodeur, et d' autre 
part, avec une pluralite de cartes de controle d'acces 
conditionnel, pour gerer l'acces auxdites donnees 

30 numeriques, 1' appariement etant effectue entre ledit 
decodeur et ladite interface de securite amovible- 
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Dans un troisieme mode de realisation, 
1' equipement comporte un decodeur muni d'une interface 
de securite amovible ayant une memoire non volatile et 
destinee a cooperer, d'une part, avec ledit decodeur, 
5 et d' autre part, avec une pluralite de cartes de 
controle d f acces conditionnel et 1' appariement est 
realise entre ladite interface de securite amovible et 
lesdites cartes de controle d' acces. 

1/ invention concerne egalement un decodeur 
10 susceptible de cooperer avec une pluralite de modules 
externes de securite pour gerer 1' acces a des 
programmes audiovisuels distribues par un operateur, 
chaque module externe de securite ayant.. un identif iant 
unique et comportant au moins un algorithme de 
15 traitement de donnees. 

Le decodeur selon 1' invention comporte des 
moyens pour memoriser a la volee 1' identif iant de 
chaque module externe de securite qui lui est connecte. 

Dans un premier mode de realisation, 
2 0 lesdits modules externes de securite sont des cartes de 
controle d' acces dans lesquelles sont memorisees des 
informations relatives aux droits d' acces d'un abonne a 
des donnees numeriques distributes par un operateur, 

Dans un deuxieme mode de realisation, 
25 lesdits modules externes de securite sont des 
interfaces de securite amovibles comportant une memoire 
non volatile et destinee s a cooperer, d'une part, avec 
ie decodeur, et d' autre part, avec une pluralite de 
cartes de controle d' acces conditionnel pour gerer 
30 1' acces a des donnees numeriques distributes par un 
operateur. 
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L' invention concerne egalement une 
interface de securite amovible comportant une memoire 
non volatile et destinee a cooperer, d' une part, avec 
un equipement recepteur, et d' autre part, avec une 
5 pluralite de cartes de controle d'acces conditionnel, 
pour gerer l'acces a des donnees numeriques distributes 
par un operateur, chaque carte ay ant un identifiant 
unique et comportant des informations relatives aux 
droits d'acces d' un abonne. auxdites donnees numeriques. 

10 1/ interface selon 1' invention comporte des 

moyens pour enregistrer a la volee 1' identifiant de 
chaque carte de controle d'acces dans ladite memoire 
non volatile. 

Dans une premiere variante, cette interface 

15 est une carte PCMCIA (pour Personal Computer Memory 
Card International Association) comportant un logiciel 
de desembrouillage de donnees numeriques. 

Dans une deuxieme variante, cette interface 
est un module logiciel qui peut etre execute soit dans 

20 1' equipement recepteur soit dans le module externe de 
securite . 

1/ invention concerne en outre un programme 
d' ordinateur executable dans un equipement recepteur 
susceptible de cooperer avec une pluralite de modules 

25 externes de securite ayant chacun un identifiant unique 
et dans lesquels sont stockees des informations 
relatives aux droits d'acces d'un abonne a des donnees 
numeriques distributes par un operateur. 

Ce programme d' ordinateur comporte des 

30 instructions pour memoriser a la volee 1' identifiant de 
chaque module externe de securite connecte audit 
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equipement recepteur et des instructions destinees a 
generer localement des parametres de controle de 
1' appariement de 1' equipement recepteur avec un module 
externe de securite en fonction d f une signalisation 
5 transmise audit equipement recepteur par l'operateur. 

Ce Programme d r ordinateur comporte en outre 
des instructions destinees a verifier, a chaque 
utilisation ulterieure d'un module externe de securite 
avec 1' equipement recepteur, si 1' identif iant dudit 
10 module externe de securite est memorise dans 
1' equipement recepteur . 

BREVE DESCRIPTION DES DESSINS 

D'autres caracteristiques et avantages de 
15 1' invention ressortiront de la description qui va 
suivre, prise a titre d' exemple non limitatif en 
reference aux figures annexees dans lesquelles : 

- la figure 1 represente une premiere 
architecture pour la mise en oeuvre de 1' appariement 

20 selon 1' invention, 

- la figure 2 represente une deuxieme 
architecture pour la mise en ceuvre de l r appariement 
selon 1' invention, 

- la figure 3 represente une troisieme 
25 architecture pour la mise en osuvre de 1' appariement 

selon 1/ invention, 

- la figure 4 represente la structure des 
messages EMM de configuration et d' utilisation des 
fonctionnalites d' appariement selon 1' invention 

i 30 - la figure 5 represente un diagramme 

d'etat de la fonction d' appariement selon 1' invention, 
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- la figure 6 represente un organigramme 
illustrant un mode particulier de mise en oeuvre de 
1 ' appariement selon 1 ' invention . 

5 EXPOSE DETAILLE DE MODES DE REALISATION PART I CULIERS 

L' invention va maintenant etre decrite dans 
le cadre d'une application dans laquelle un operateur 
diffusant des programmes audiovisuels met en oeuvre le 
procede selon l r invention pour limiter 1' utilisation de 
10 son pare d' equipements recepteurs a ses propres 
abonnes. 

Le procede peut etre mis en oeuvre dans 
trois architectures distinctes illustrees 

respectivement par les figures 1, 2 et 3 . Les elements 

15 identiques dans ces trois architectures seront designes 
par des references identiques. 

La gestion de 1 f appariement est realisee a 
partir d'une plateforme commerciale 1 controlee par 
1' operateur et communiquant avec I'equipement recepteur 

2 0 installe chez I'abonne. 

Dans la premiere architecture, illustree 
par la figure 1, I'equipement recepteur comporte un 
decodeur 2 dans lequel est installe un logiciel de 
controle d' acces 4, et le module externe de securite 

25 est une carte de controle d r acces 6 comportant des 
informations relatives aux droits d' acces d'un abonne 
aux programmes audiovisuels diffuses • Dans ce cas, 
1' appariement est effectue entre le decodeur 2 et 
ladite carte 6. 

30 Dans la deuxieme architecture illustree par 

la figure 2, I'equipement recepteur comporte un 
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decodeur 2, non dedie au controle d r acces, et le module 
externe de securite est une interface de securite 
amovible 8 munie d'une memoire non volatile et dans 
laquelle est installe le logiciel de controle d' acces 
5 4. Cette interface 8 coopere, d'une part, avec ledit 
decodeur 2, et d' autre part, avec une carte 6 parmi une 
pluralite de cartes de controle d' acces conditionnel, 
pour gerer 1' acces auxdits programmes audiovisuels . 

Dans cette architecture, 1' appariement est 
10 realise entre ladite interface de securite amovible 8 
et ladite carte de controle d' acces 6. 

Dans la troisieme architecture, illustree 
par la figure 3, 1' equipement recepteur comporte . un 
decodeur 2 dans lequel est installe un logiciel de 
15 controle d' acces 4, ce decodeur 2 est connecte a une 
interface de securite amovible 8 ayant une memoire non 
volatile qui coopere avec une carte 6 parmi une 
pluralite de cartes de controle d r acces conditionnel . 

Dans ce cas, 1' appariement est effect ue 
20 entre le decodeur 2 et 1' interface de securite amovible 
8. 

La configuration et 1' utilisation par 
1' operateur de 1' appariement resulte de cornmandes. 
emises par la plateforme de gestion commerciale 1- 
25 La description qui suit concerne la mise en 

oeuvre de 1' invention dans le cas d' appariement d'un 
decodeur 2 avec une carte 6. Les Stapes mises en oeuvre 
s'appliquent aux trois architectures decrites ci- 
dessus . 

30 A la sortie d r usine d'un decodeur 2, comme 

apres un telechargement du logiciel de controle d' acces 
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4 dans ce decodeur, tous les trait ements de 
1' appariement sont inactifs. En particulier : 

- aucun identifiant de carte n'est memorise 
dans le decodeur 2, 

5 - le nombre maximal d' identif iants de 

cartes memorisables n'est pas initialise, 

- la memorisation par le decodeur 2 de 
1' identif iant d'une carte 6 n'est pas active, 

- le controle par le decodeur 2 de 
10 1' identifiant d'une carte 6 n'est pas actif. 

Lorsqu'une carte valide est inseree dans le 
lecteur de carte prevu a cet effet dans le decodeur 2, 
1' appariement entre cette carte et le decodeur 2 peut 
alors etre configure par une requete de l'operateur sur 

15 la plateforme de gestion 1 qui emet vers le decodeur 2 
un message de gestion EMM dedie a 1 9 appariement , Ce 
message de gestion EMM est adresse directement au 
decodeur 2 ou indirectement via la carte 6. Ce message 
de gestion EMM permet de . realiser les taches 

20 suivantes : 

- activer dans le decodeur 2 la fonction 
d r appariement ; dans ce cas le decodeur 2 verif ie si 
1' identifiant de la carte 6 fait partie des 
identif iants qu'il a memorises. Si ce n'est pas le cas, 

25 et si le nombre maximal d' identif iants de cartes 
memorisables n'est pas atteint, le decodeur memorise 
1' identif iant de cette carte., 

- desactiver dans le decodeur la fonction 
d' appariement . Dans ce cas le decodeur ne controle pas 

30 et ne memorise pas 1' identif iant de la carte 6, 
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- effacer les identifiants de cartes deja 
memorises dans le decodeur . 

- definir le nombre maximal d' identif iants 
de cartes memorisables par le decodeur. 

5 En outre l'operateur peut emettre via la 

plateforme 1, un message EMM contenant une liste 
imposee des identifiants de cartes 6 appariees a un 
decodeur 2-. Un tel message est adresse au decodeur 2 
indirectement via la carte 6. 
10 ADRESSAGE DES MESSAGES EMM 

Les messages EMM permettant la 
configuration et 1' utilisation des f onctionnalites 
liees a l r appariement selon le procede de 1' invention 
sont emis dans une voie EMM d r un multiplex numerique 
15 tel que defini par le standard MPEG2/Systeme et les 
standards DVB/ETSI. 

Cette voie peut diffuser des EMM 
referengant une adresse de carte (s) permettant de les 
destiner : 

2 0 - au decodeur dans lequel est inseree une 

carte particuliere, 

- aux decodeurs dans lesquels sont inserees 
les cartes d' un groupe particulier, 

- aux decodeurs dans lesquels sont inserees 

25 toutes les cartes. 

Ces EMM destines aux decodeurs « via la 
carte » sont utilises notamment quand les decodeurs ne 
disposent pas d' adresse. 

Cette voie peut diffuser egalement des EMM 
30 referengant une adresse de decodeur (s) permettant de 
les destiner directement : 
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- a un decodeur particulier, 

- a un groupe particulier de decodeur s, 

- a tous les decodeurs ; 

5 Les EMM directement destines a tous les 

decodeurs sont utilisables egalement quand les 
decodeurs ne disposent pas d'adresse. 

Les messages destines a un decodeur designe 
par une carte particuliere ou directement a un decodeur 
10 particulier sont des EMM— U presentant la structure 
suivante : 

EMM-U__section ( ) { 

table_id = 0x88 8 bits 

section__syntax_indicator = 0 1 bit 

15 DVB_re served 1 bit 

ISO__reserved 2 bits 

EMM-U_section_length 12 bits 

unique_adress_f ield 4 0 bits 

for (i=0; i<N; i++) { 

20 EMM_data_byte 8 bits 

} 

} 

Le param^tre unique_adress_f ield est 
25 l'adresse unique d'une carte dans un EMM— U carte ou 
1' adresse unique d' un decodeur dans un EMM— U decodeur 

Les messages destines a des decodeurs 
designes par un groupe particulier de cartes ou 
directement a un groupe particulier de decodeurs sont 
30 des EMM— S presentant la structure suivante : 
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EMM-S_section ( ) { 
table_id = 0x8E 
section_syntax_indicator 
5 D VB_r eserved 

ISO_reserved 
EMM-S__section_length 
shared__address_f ield 
reserved 
1 0 dat a_f o rmat 

ADF_scrambling_f lag 
for (i=0; i<N; ±++) { 
EMM_dat a_by t e 
} 

15 } 

Le parametre shared_adress_f ield est 
1' adresse du groupe de cartes dans un EMM— S carte ou 
1' adresse du groupe de decodeurs dans un EMM— S 
20 decodeur. Un decodeur d'un groupe ou une carte d'un 
groupe est concerne(e) par le message si en outre il 
(elle) est explicitement designe (e) dans un champ ADF 
contenu dans EMM_data_byte et pouvant etre chiffre 
selon 1' information ADF_scrairibling_flag. 

25 

Les messages destines aux decodeurs 
designes par toutes les cartes ou directement a tous 
les decodeurs sont des EMM— G presentant la structure 
suivante : 

30 



8 bits 
= 0 1 bit 

1 bit 

2 bits 
12 bits 
24 bits 
6 bits 
1 bit 

1 bit 

8 bits 
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EMM-G__s e ct i on ( ) { 

table__id = 0x8A ou 0x8B 8 bits 

section__syntax_indicator =0 1 bit 
5 DVB__re served 1 bit 

ISO_reserved 2 bits 

EMM-G_section_J_ength 12 bits 

for (i=0; i<N; { 

EMM__dat a__byt e 8 bits 

10 } 

} 

CQNTENU PES MESSAGES EMM 

La figure 4 illustre schematiquement le 
15 contenu des donnees EMM_data_byte d'un message EMM 

d' appariement . Ce contenu depend de la fonction a 

executer par le decodeur 2 pour la configuration ou 

1' utilisation de 1' appariement . 

Les donnees EMM_data_byte incluent les 
2 0 parametres fonctionnels suivants :. 

ADF 20: complement d' adres.sage d'un 

decodeur dans un groupe de decodeurs ; ce parametre est 

utile en cas d' adressage par groupe sinon il peut etre 

omis ; il peut etre chiffre, 
25 - SOID 22 : identification de messages 

d r appariement selon 1' invention, parmi d f autre s types 

de messages, 

- OPID/NID 2 4 : identification du pare de 
decodeurs et du signal de 1'operateur, 
30 - TIME 26 : donnees d' horodatage de 

1' emission du message ; ce parametre est utilise pour 
eviter le rejeu du message par un meme decodeur-, 
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- CRYPTO 28 : identification des fonctions 
de protection crypt ographique appliquees aux parametres 
FUNCTIONS 32. 

Les parametres FUNCTIONS peuvent etre 
5 chiffres et proteges par une redondance cryptographique 
30. 

- FUNCTIONS 32 : ensemble des parametres 
decrivant la configuration et 1' utilisation de 
1' appariement . 

10 Les parametres fonctionnels ci-dessus sont 

organises librement dans les donnees EMM_data_byte d'un 
message EMM. Une implementation preferee est la 
combinaison de ces parametres par structure T L V (Type 
Longueur Valeur) . 

15 

TRAI TEMENT DES MESSAGES EMM 

Les parametres fonctionnels ci-dessus sont 
destines a etre traites par le decodeur 2. 

Quand ils sont transmis dans un EMM 
2 0 decodeur, ces parametres constituent le contenu utile 
de 1' EMM. 

Quand ils sont transmis dans un EMM carte, 
ces parametres constituent une partie, clairement 
identifiable par la carte, du contenu utile de 1' EMM 

25 qui contient d' autres parametres concernant la carte. 
Cette derniere se charge alors d r extraire les 
parametres fonctionnels qui le concernent de 1' EMM et 
de les transmettre au decodeur 2. Une realisation 
preferee pour permettre ce mecanisme de tri consiste a 

30 integrer ces parametres fonctionnels dans un parametre 
d' encapsulation non traitable par la carte. Ainsi, a la 
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detection par la carte 6 de cette encapsulation, la 
carte 6 envoie au decodeur 2 une reponse de type 
« Parametre Non Interpret able (PNI) » accompagnee de 
1' ensemble des parametres du decodeur 2. 
5 La carte 6 recoit egalement un ordre date 

d' inscription de donnees via un EMM carte, permettant, 
d'une part, de s f assurer que la carte 6 n' a pas deja 
traite ce message dans un autre decodeur, afin d f eviter 
le rejeu sur un autre decodeur et, d' autre part, de 

10 limiter le traitement de cet EMM par un seul decodeur. . 
Semantiquement ces donnees signifient « Deja traite ». 
Une realisation preferee de ce mecanisme d f anti-re jeu 
est 1' inscription de ces donnees d' anti-re jeu dans un 
bloc de donnees FAC (Facilities Data Block en anglais) 

15 de la carte. 

Si suite au traitement d'un EMM_carte 
d' appariement la carte repond « PNI » et « Deja Traite» 
le decodeur 2 ne prend pas en compte les parametres 
qu'il regoit. 

20 CONFIGURATION ET UTILISATION DE 1/ APPARIEMENT 

L' ensemble des parametres FUNCTIONS 32 
decrit la configuration et 1' utilisation de 
1' appariement selon 1' invention. Cet ensemble de 
parametres est une combinaison quelconque des 

25 parametres fonctionnels suivants : 

- MODE : ce parametre active, desactive ou 
reinitialise la solution d' appariement . Apres 
desactivation, le decodeur ne controle pas 
1' identif iant d' une carte inseree dans le decodeur mais 

30 conserve la liste des identifiants deja memorises, et 
apres reinitialisation, le decodeur ne controle pas 
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l r identifiant d'une carte inseree et n' a plus 
d' identif iant de cartes memorise. 

- NBC A (Nombre de cartes autorisees) : ce 
parametre impose le nombre maximal d' identif iants de 

5 cartes qu'un decodeur est autorise a memoriser ; quand 
il n'est pas renseigne, NBC A est defini par 
1' implementation du module logiciel dans le decodeur 
selon 1' invention 

- LCA (Liste de cartes autorisees) : ce 
10 parametre impose a un decodeur la liste des 

identifiants de cartes avec lesquelles il peut 
f onctionner . 

- Perturbation : ce parametre decrit la 
perturbation a appliquer par le decodeur dans 1' acces 

15 aux donnees en cas de carte non appariee avec le 
decodeur . 

Les parametres fonctionnels ci-dessus sont 
organises librement dans 1' ensemble de parametres 
FUNCTIONS 32 . Une implementation preferee est la 

2 0 combinaison de ces parametres par structure T L V (Type 
Longueur Valeur) . 
FONCTIONNEMENT 

Le fonctionnement de 1' appariement selon 
1' invention va maintenant etre decrit par reference aux 

25 figures 5 et 6 • 

La figure 5 est un diagramme fonctionnel 
illustrant schematiquement les etats de la fonction 
d' appariement du logiciel de controle d' acces 4 
embarque dans un decodeur 2 . 

30 La fonction d' appariement est dans l'etat 

inactif 60 quand le logiciel de controle d' acces 4 
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vient d'etre installe ou telecharge (etape 61) ou quand 
il a regu de -la plateforme 1' un ordre de desactivation 
de 1' appariement (etape 62) ou de reinitialisation de 
1' appariement (etape 64). Dans cet etat le logiciel de 
5 controle d f acces 4 accepte de fonctionner avec une 
carte 6 .inseree dans le decodeur 2 sans verifier son 
appariement avec cette carte . 

Pour effectuer 1' activation de 

1' appariement dans un decodeur 2, l f operateur definit 

10 via la plateforme 1 un mode d' appariement (= actif ) , 
optionnellement le nombre maximum NBC A de cartes 6 
susceptibles d'etre appariees avec le decodeur 2 et le 
type de perturbation applicable dans 1' acces aux 
donnees en cas d'echec de 1' appariement . En fonction de 

15 ces informations la plateforme 1 genere et emet (fleche 
68) un message EMM adressant le ou les decodeurs 
concernes et contenant les parametres de configuration. 
La fonction d' appariement dans le decodeur passe a 
l'etat actif 70. 

20 L' operateur peut desactiver 1 7 appariement 

dans le decodeur 2, via la plateforme 1 qui genere et 
emet (fleche 72) un message EMM adressant le ou les 
decodeurs concernes et contenant un ordre de 
desactivation sans effacement du contexte d' appariement 

25 62 ou un ordre de EAZ du contexte d' appariement 64 . La 
fonction d' appariement dans le decodeur passe a l'etat 
inactif 60. 

Quel que soit l'etat inactif ou actif de la 
fonction d' appariement , elle peut recevoir (etape 74) 
30 une liste de cartes autorisees LCA par EMM emise par la 
plateforme 1.. 
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La prise en compte d'une carte 6 par la 
fonction d' appariement dans un decodeur 2 est decrite 
dans 1' organigramme de la figure 6. 

A 1' insertion (etape 80) d'une carte 6 dans 
5 le decodeur 2, le logiciel de controle d' acces 4 
embarque dans le decodeur teste (etape 82) si la 
fonction d' appariement est dans l'etat actif 70. 

Si la fonction d' appariement dans le 
decodeur est dans l'etat inactif 60, le decodeur 
10 accepte de fonctionner avec la carte inseree (etape 
92) . 

Si la fonction d' appariement dans le 
decodeur est dans Ketat actif 70, le logiciel de 
controle d' acces lit 1' identif iant de la carte et 
15 verifie (etape 84) si cet identifiant de la carte 
inseree est deja memorise dans le decodeur 2. Si 
1' identifiant de cette carte 6 est deja memorise dans 
le decodeur 2, le logiciel de controle d' acces 4 
accepte de fonctionner avec la carte inseree (etape 
20 92). Dans ce cas, 1' acces aux programmes diffuses est 
alors possible, sous reserve de conformite des autres 
conditions d' acces attachees a ces programmes. 

Si 1' identifiant de cette carte 6 n'est pas 
memorise dans le decodeur 2, le logiciel de controle 
25 d' acces verifie (etape 86) si le nombre d' identif iants 
de cartes 6 deja memorises est inferieur a la valeur 
maximum NBC A de cartes 6 autorisees par la 
configuration . 

• Si ce nombre NBC A est atteint, le logiciel de 
30 controle d' acces 4 refuse de fonctionner avec 

la carte 6 inseree dans le lecteur du decodeur 
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2, et applique (etape 90) la perturbation dans 
1'acces aux donnees telle que definie par 
1' operateur . Une telle perturbation peut 
consister a bloquer 1'acces aux programmes 
5 diffuses. Elle peut etre accompagnee de 

l'affichage sur l'ecran du terminal auquel est 
associe le decodeur 2 d'un message invitant 
l'abonne a inserer une autre carte 6 dans le 
decodeur 2, 

10 • Si ce nombre NBCA n'est pas atteint, 

1' identif iant de la carte 6 inseree dans le 
lecteur du decodeur 2 est ajoute a la liste des 
identifiants memorises (etape 88) . Le logiciel 
de controle d' acces 4 accepte ensuite de 
15 fonctionner avec la carte 6 inseree (etape 92) . 

Quand la carte 6 est extraite (etape 94) du 
decodeur 2, le logiciel de controle d' acces 4 passe en 
attente de l'insertion d' une carte 6 (etape 80). 

La perturbation 90 dans 1'acces aux donnees 
20 en cas de defaut d' appariement peut etre de differente 
nature telle que par exemple : 

- Arret audio et video sur les chalnes 
cryptees (obtenu par non soumission des ECM a la carte 
pour calcul des CW) ; 

25 - Arret audio et video sur les chaines en 

clair et analogiques (obtenu par message au 

middleware) ; 

- Envoi d f un message au middleware du 
terminal (exemple : message Open TV) . 

30 . Cette perturbation peut etre utilisee 

egalement pour provoquer le blocage de decodeurs voles. 
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Dans le cas decrit dans la figure 2 ou le 
logiciel de controle d' acces 4 est' execute dans 
1' interface amovible 8 connectee a un decodeur 2, 
1' automate decrit dans la figure 4 et 1' organigramme 
5 decrit dans la figure 5 s'appliquent directement au 
logiciel de controle d'acces embarque 4 dans cette 
interface amovible 8. 
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REVEND I CAT I ON S 

1 . Procede d f appariement d' un equipement 
recepteur de donnees numeriques (2) avec une pluralite 
de modules externes de securite (6, 8) ayant chacun un 

5 identif iant unique, procede caracterise en ce qu'il 
comporte les etapes suivantes : 

- connecter un module externe de securite 
(6, 8) a 1' equipement recepteur, 

~ memoriser a la volee dans 1' equipement 
10 recepteur (2) 1' identif iant unique du module de 
securite (6, 8) connect e. 

2. Procede selon la revendication 1, 
caracterise en ce qu'il comporte en outre une phase de 
controle consistant a verifier, a chaque connexion 

15 ulterieure d r un module externe de securite (6, 8) a 
1' equipement recepteur (2) , si 1' identif iant dudit 
module est memorise dans cet equipement recepteur (2) . 

3. Procede selon la revendication 2, 
caracterise en ce qu'il comporte en outre une etape 

20 consistant a transmettre a 1' equipement recepteur (2) 
une signalisation comportant au moins un message de 
gestion de la memorisation de 1' identif iant du module 
externe de securite (6, 8) et/ou un message de gestion 
de la phase de controle. 

25 4. Procede selon la revendication 3, 

caracterise en ce que ladite signalisation comporte au 
moins une des consignes suivantes : 

- autoriser la memorisation, 

- interdire la memorisation, 

30 - effacer les identifiants deja memorises 

dans 1' equipement recepteur (2), 
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- activer ou desactiver la phase de 

controle. 

5. Procede selon la revendication 3, 
caracterise en ce que ladite signalisation comporte en 

5 outre le nomfore maximal d' identif iants dont la 
memorisation est autorisee. 

6. Procede selon la revendication 3, 
caracterise en ce que ladite signalisation comporte une 
consigne de reconfiguration par laquelle on transmet a 

10 1' equipement recepteur (2) une liste mise a jour des 
identif iants des modules ext ernes de securite (6, 8) 
apparies avec ledit equipement recepteur (2) . 

7. Procede selon la- revendication 6, 
caracterise en ce que ladite liste est transmise 

15 directement a 1' equipement recepteur (2). 

8. Procede selon la revendication 6, 
caracterise en ce que ladite liste est transmise via un 
module externe de securite (6, 8) connect e audit 
equipement recepteur (2) . 

20 9. Procede selon la revendication 2, dans 

lequel ladite phase de controle comporte une procedure 
consistant a perturber le traitement des donnees si 
1' identif iant du module externe de securite (6, 8) 
connecte n'est pas prealablement memorise 1' equipement 

25 recepteur (2) . 

10. Procede selon la revendication 1, 
caracterise en ce que lesdites donnees sont distributes 
en clair ou embrouillees par un mot de controle 
chiffre, et en ce.que chaque module externe de securite 

30 (6, 8) comporte des droits d' acces auxdites donnees et 
un algorithme de dechif f rement dudit mot de controle . 
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11. Procede selon l'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un equipement recepteur (2) dans un message 
EMM specif ique a un module externe de securite (6, 8) 

5 associ£ a cet equipement recepteur (2) . 

12. Procede selon l'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un equipement recepteur (2) dans un message 
EMM specif ique a cet equipement recepteur (2) . 

10 13. Procede selon la revendication 6, 

caracterise en ce que, pour un equipement recepteur (2) 
donne, ladite liste est transmise dans un message EMM 
specif ique a un module de securite (6, 8) associe a cet 
equipement recepteur (2) . 

15 14. Procede selon l'une des revendications 

4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un groupe d' equipements recepteurs (2) dans 
un message EMM specif ique a un groupe de modules 
externes de securite (6, 8) associes auxdits 

2 0 equipements recepteurs (2) . 

15. Procede selon l'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation est 
transmise a un groupe d' equipements recepteurs (2) dans 
un message EMM specif ique audit groupe d' equipements 

25 recepteurs (2) . 

16. Procede selon la revendication 6, 
caracterise en ce que, pour un groupe d' equipements 
recepteurs (2) donne, ladite liste est transmise dans 
un message EMM specifique a un groupe de modules 

30 externes de securite (6, 8) associees auxdits 
equipements recepteurs <2) . 
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17. Procede selon 1'une des revendications 
4 ou 5, caracterise en ce que ladite signalisation de 
controle est transmise dans un flux prive a un groupe 
d' equipements recepteurs (2). 
5 18. Procede selon la revendication 6, 

caracterise en ce que, pour un groupe d' equipements 
recepteurs (2) donne, ladite liste est transmise dans 
un flux prive a chaque equipement recepteur (2) . 

19. Procede selon l'une des revendications 
10 17 ou 18, ' caracterise en ce que ledit flux prive est 
traite par un logiciel dedie executable dans chaque 
equipement recepteur (2) en fonction de 1' identif iant 
du module externe de securite (6, 8) qui lui est 
associe . 

15 20. Procede selon l'une des revendications 

11 a 16, caracterise en ce qu'il comporte en outre un 
mecanisme destine empecher 1' utilisation d'un EMM 
transmis a un meme module externe de securite (6, 8) 
dans deux equipements recepteurs (2) distincts. 

20 21. Procede selon l'une des revendications 

11 a 13, caracterise en ce que ledit EMM presente le 
format suivant : 

EMM-U_section ( ) { 

table_id = 0x8 8 8 bits 

25 section__syntax_indicator =0 1 bit 

DVB__reserved 1 bit 

ISO_ reserved 2 bits 

EMM-U_section_length 12 bits 

unique_adress_f ield 40 bits 

30 for (i=0; i<N; i++) { 

EMM_data_byte 8 bits 

} 

} 
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22. Procede selon 1'une des revendications 
14 a 16, caracterise en ce que ledit EMM est specifique 
a tous les modules externes de securite (6, 8) ou a 
tous les equipements recepteurs (2) et presente le 

5 format suivant : 

EMM-G_section ( ) { 

table_id = 0x8A ou 0x8B - 8 bits 

section_syntax_indicator = 0 1 bit 

DVB_reserved 1 bit 

10 ISO_reserved 2 bits 

EMM-G_section__length 12 bits 
for (i=0; i<N; i++) { 

EMM_data_byte 8 bits 
} 

15 } 

23. Procede selon l'une des revendications 
14 a 16, caracterise en ce que ledit EMM est specifique 
a un sous-groupe de modules externes de securite (6, 8) 
ou d' equipements recepteurs (2) et presente le format 

20 suivant : 

EMM-S_section ( ) { 

table_id = 0x8E 8 bits 

section__syntax_indicator = 0 1 bit 

DVB_reserved 1 bit 

25 ISO_reserved 2 bits 

EMM-S_section__length 12 bits 

sbared_address_f ield 24 bits 

reserved 6 bits 

dat a_f ormat 1 bit 

30 ADF_scrambling_f lag 1 bit 

for (i=0; i<N; i++) { 

EMM__dat a_byt e 8 bits 

} 

} 



WO 2005/081525 . . PCT/FR2005/050101 

32 

24. Procede selon la revendication 1, 
caracterise en ce que les iderrtif iants de modules 
externe de securite (6, 8) sont groupes dans une liste 
chif f ree . 

5 25. Procede selon l'une quelconque des 

revendications 1 a 24, caracterise en ce que 
l'equipement recepteur (2) comporte un decodeur et le 
module externe de securite (6, 8) comporte une carte de 
controle d f acces (6) dans laquelle sont memorisees des 
10 informations relatives aux droits d' acces d'un abcnne a 
des donnees numeriques distributes par un operateur, et 
en ce que 1' appariement est effectue entre ledit 
decodeur et ladite carte (6) . 

26. Procede selon l'une quelconque des 
15 revendications 1 a 24, caracterise en ce que 

l'equipement recepteur (2) comporte un decodeur et le 
module externe de securite (6, 8) comporte une 
interface de securite amovible (8) munie d'une memoire 
non volatile et destinee a cooperer, d'une part, avec 

2 0 le decodeur, et d' autre part, avec une pluralite de 
cartes de controle (6) d' acces conditionnel pour gerer 
1' acces a des donnees numeriques distributes par un 
operateur, et en ce que 1' appariement est effectue 
entre ledit decodeur et ladite interface (8) de 

25 securite amovible. 

27. Procede selon l'une quelconque des 
revendications 1 a 24, caracterise en ce que 
l'equipement rtcepteur (2) comporte un decodeur muni 
d'une interface de securite amovible (8) ayant une 

30 memoire non volatile et destinee a cooperer, d'une 
part, avec ledit decodeur, et d' autre part, avec une 
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pluralite de cartes de controle (6) d'acces 
conditionnel et en ce que 1' appariement est realise 
entre ladite interface de securite amovible (8) et 
lesdites cartes de controle d'acces (6). 
5 28. Procede selon la revendication 10, 

caracterisee en ce que les donnees sont des programmes 
audiovisuels . 

29. Equipement recepteur (2) susceptible 
d' §tre apparie avec une pluralite de modules externes 

10 de securite (6, 8) pour gerer 1' acces a des donnees 
numeriques distributes par un operateur, caracterise en 
ce qu'il comporte des moyens pour memoriser a la volee 
1' identif iant de chaqiie module externe de securite (6, 
8) qui lui est connecte. 

15 30. Equipement selon la revendication 29, 

caracterise en ce qu'il comporte un decodeur et en ce 
que le module externe de securite (6, 8) est une carte 
de controle d' acces (6) comportant des informations 
relatives aux droits d' acces d' un abonne auxdites 

20 donnees numeriques, 1' appariement etant effectue entre 
ledit decodeur et ladite carte (6) . 

31. Equipement selon la revendication 29, 
caracterise en ce qu' il comporte un decodeur et en ce 
que le module externe de securite (6, 8) est une 

25 interface de securite amovible (8) munie d'une memoire 
non volatile et destinee a cooperer, d'une part, avec 
ledit decodeur, et d' autre part, avec une pluralite de 
cartes de controle d' acces conditionnel (6), pour gerer 
l'acces auxdites donnees numeriques, 1' appariement 

30 etant effectue entre ledit decodeur et ladite interface 
de securite amovible (8) . 
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32. Equipement selon la revendication 29 , 
caracterise en ce qu r il comporte un decodeur muni d'une 
interface de securite amovible (8) ayant une memoire 
non volatile et destinee a cooperer, d' une part, avec 
5 ledit decodeur, et d f autre part, avec une pluralite de 
cartes de controle (6) d r acces conditionnel et en ce 
que 1' appariement est realise entre ladite interface de 
securite amovible (8) et lesdites cartes de controle 
d' acces (6) . 

10 33. Decodeur susceptible de cooperer avec 

une pluralite de modules ext ernes de securite (6, 8) 
pour gerer 1' acces a des programmes audiovisuels 
distribues par un operateur, chaque module ext erne de 
securite (6, 8) ayant un identifiant unique et 

15 comportant au moins un algorithme de traitement de 
aonnees, decodeur caracterise en ce qu'il comporte des 
moyens pour memoriser a la volee 1' identifiant de 
chaque module externe de securite (6, 8) qui lui est 
connecte . 

20 .34. Decodeur selon la revendication 33, 

caracterise en ce que lesdits modules externes de 
securite (6, 8) sont des cartes de controle d' acces (6) 
dans lesquelles sont memorisees des informations 
relatives aux droits d' acces d'un abonne a des donnees 

25 numeriques distributes par un operateur . 

35. Decodeur selon la revendication 33, 
caracterise en ce que lesdits modules externes de 
securite (6, 8) sont des interfaces de securite 
amovibles (8) comportant une memoire non volatile et 

30 destinees a cooperer, d'une part, avec le decodeur, et 
d' autre part, avec une pluralite de cartes de controle 
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d'acces (6) conditionnel pour gerer l'acces a des 
donnees numeriques distribuees par un operateur. 

36. Interface de securite amovible (8) 
comportant une memoire non volatile et destinee a 

5 cooperer, d' une part, avec un equipement recepteur (2), 
et d' autre part, avec une pluralite de cartes de 
controle d'acces (6) conditionnel, pour gerer 1' acces a 
des donnees numeriques distributes par un operateur, 
chaque carte (6) ayant un identifiant unique et 

10 comportant des informations relatives aux droits 
d'acces d'un abonne auxdites donnees numeriques, 
interface caracterisee en ce qu'elle comporte des 
moyens pour enregistrer a la volee 1' Identifiant de 
chaque carte de controle d'acces (6) dans ladite 

15 memoire non volatile. 

37. Interface selon la revendication 36 
caracterisee en ce qu'elle consiste en une carte PCMCIA 
comportant un logiciel de desembrouillage de donnees 
numeriques. 

20 38. Interface selon la revendication 36 

caracterisee en ce qu r elle consiste en un module 
logiciel . 

39. Programme d'ordinateur executable dans 
un equipement recepteur (2) susceptible de cooperer 

25 avec une pluralite de modules externes de securite (6, 
8) ayant chacun un identifiant unique et dans lesquels 
sont stockees des informations relatives aux droits 
d'acces d'un abonne a des donnees numeriques 
distribuees par un operateur, caracterise en ce qu'il 

30 comporte des instructions pour memoriser a la volee 
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1' identif iant de chaque module externe de securite (6, 
8) connecte audit equipement recepteur (2) . 

40. Programme d f ordinateur selon la 
revendication 39, caracterise en ce qu' il comporte en 

5 outre des instructions destinees a generer localement 
des parametres de controle de 1' appariement de 
1' equipement recepteur (2) avec un module externe de 
securite (6, 8) en fonction d r une signalisation 
transmise audit . equipement recepteur (2) par 
10 l'operateur. 

41. Programme d' ordinateur selon la 
revendication 39, caracterise en ce qu' il comporte en 
outre des instructions destinees a verifier, a chaque 
utilisation ulterieure d'un module externe de securite 

15 (6, 8) avec l r equipement recepteur (2), si 
1' identif iant dudit module externe de securite (6, 8) 
est memorise dans 1' Equipement recepteur (2). 

42. Systeme comportant une pluralite 
d' equipement s recepteurs (2) connectes a un reseau de 

20 diffusion de donnees et/ou services, chaque equipement 
recepteur (2) etant susceptible d'etre apparie avec une 
pluralite de modules ext ernes de securite (6, 8), ledit 
systeme comportant egalement une plateforme de gestion 
commerciale (1) communiquant avec les equipements 

25 recepteurs (2) et avec lesdits modules externes de 
securite (6, 8) , caracterise en ce qu'il comporte en 
outre : 

- un premier module agence dans ladite 
plate-forme de gestion commerciale (1) et destine a 
30 generer des requetes d' appariement , 
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- et un deuxieme module agence dans lesdits 
eguipements recepteurs (2) et destine a traiter 
lesdites requetes pour preparer une configuration de 
1 1 appariement et pour controler 1' appariement . 
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